Uso della condizione di posizione in un criterio di accesso condizionale

Come illustrato nell'articolo Panoramica criteri di accesso condizionale sono alla loro base un'istruzione if-then che combina i segnali, per prendere decisioni e applicare i criteri dell'organizzazione. Uno di questi segnali che possono essere incorporati nel processo decisionale è la posizione.

Segnale condizionale concettuale oltre a decisione per l'applicazione di criteri

Le organizzazioni possono usare questa posizione per le attività comuni, ad esempio:

  • Richiedere l'autenticazione a più fattori per gli utenti che accedono a un servizio quando sono fuori dalla rete aziendale.
  • Blocco dell'accesso per gli utenti che accedono a un servizio da specifici paesi o aree geografiche.

La posizione è determinata dall'indirizzo IP pubblico fornito da un client alle coordinate GPS o di Azure Active Directory fornite dall'app Microsoft Authenticator. Per impostazione predefinita, i criteri di accesso condizionale si applicano a tutti gli indirizzi IPv4 e IPv6.

Posizioni specifiche

I percorsi vengono denominati nella portale di Azure inPercorsi denominatidi accesso> condizionaledi sicurezza> di Azure Active Directory>. Questi percorsi di rete denominati possono includere posizioni come intervalli di rete di sede dell'organizzazione, intervalli di rete VPN o intervalli che si desidera bloccare. Le posizioni denominate possono essere definite dagli intervalli di indirizzi IPv4/IPv6 o da paesi.

Percorsi denominati nell'portale di Azure

Intervalli di indirizzi IP

Per definire una posizione denominata in base agli intervalli di indirizzi IPv4/IPv6, è necessario fornire:

  • Nome per la posizione
  • Uno o più intervalli IP
  • Facoltativamente contrassegnare come posizione attendibile

Nuovi percorsi IP nell'portale di Azure

I percorsi denominati definiti dagli intervalli di indirizzi IPv4/IPv6 sono soggetti alle limitazioni seguenti:

  • Configurare fino a 195 percorsi denominati
  • Configurare fino a 2000 intervalli IP per percorso denominato
  • Sono supportati sia gli intervalli IPv4 che IPv6
  • Non è possibile configurare intervalli IP privati
  • Il numero di indirizzi IP contenuti in un intervallo è limitato. Solo le maschere CIDR maggiori di /8 sono consentite quando si definisce un intervallo IP.

Posizioni attendibili

Gli amministratori possono assegnare nomi alle posizioni definite dagli intervalli di indirizzi IP da considerare attendibili.

Gli accessi da posizioni denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Azure AD Identity Protection, riducendo il rischio di accesso di un utente quando autenticano da una posizione contrassegnata come attendibile. Inoltre, le posizioni denominate attendibili possono essere destinate ai criteri di accesso condizionale. Ad esempio, è possibile limitare la registrazione di autenticazione a più fattori in posizioni attendibili.

Paesi

Le organizzazioni possono determinare la posizione del paese in base all'indirizzo IP o alle coordinate GPS.

Per definire una posizione denominata per paese, è necessario fornire:

  • Nome per la posizione
  • Scegliere di determinare la posizione in base all'indirizzo IP o alle coordinate GPS
  • Aggiungere uno o più paesi
  • Facoltativamente scegliere Di includere paesi/aree sconosciute

Paese come posizione nel portale di Azure

Se si seleziona Determina posizione in base all'indirizzo IP (solo IPv4), il sistema raccoglierà l'indirizzo IP del dispositivo in cui l'utente accede. Quando un utente accede, Azure AD risolve l'indirizzo IPv4 dell'utente in un paese o un'area geografica e il mapping viene aggiornato periodicamente. Le organizzazioni possono usare posizioni denominate definite dai paesi per bloccare il traffico da paesi in cui non fanno attività.

Nota

Gli accessi da indirizzi IPv6 non possono essere mappati a paesi o aree geografiche e sono considerate aree sconosciute. Solo gli indirizzi IPv4 possono essere mappati a paesi o aree geografiche.

Se si seleziona Determina posizione per coordinate GPS, l'utente dovrà avere l'app Microsoft Authenticator installata nel dispositivo mobile. Ogni ora, il sistema contatta l'app Microsoft Authenticator dell'utente per raccogliere la posizione GPS del dispositivo mobile dell'utente.

La prima volta che l'utente deve condividere la propria posizione dall'app Microsoft Authenticator, l'utente riceverà una notifica nell'app. L'utente dovrà aprire l'app e concedere le autorizzazioni di posizione.

Per le 24 ore successive, se l'utente accede ancora alla risorsa e ha concesso l'autorizzazione dell'app per l'esecuzione in background, la posizione del dispositivo viene condivisa in modo automatico una volta all'ora.

  • Dopo 24 ore, l'utente deve aprire l'app e approvare la notifica.
  • Gli utenti che hanno la corrispondenza del numero o un contesto aggiuntivo abilitato nell'app Microsoft Authenticator non riceveranno notifiche in modo invisibile all'utente e devono aprire l'app per approvare le notifiche.

Ogni volta che l'utente condivide la posizione GPS, l'app esegue il rilevamento del jailbreak (usando la stessa logica dell'SDK MAM Intune). Se il dispositivo è jailbroken, la posizione non è considerata valida e l'utente non ha concesso l'accesso.

Un criterio di accesso condizionale con posizioni denominate basate su GPS in modalità di solo report richiede agli utenti di condividere la posizione GPS, anche se non sono bloccati dall'accesso.

La posizione GPS non funziona con metodi di autenticazione senza password.

Più applicazioni di criteri di accesso condizionale possono richiedere agli utenti la propria posizione GPS prima che vengano applicati tutti i criteri di accesso condizionale. A causa del modo in cui vengono applicati i criteri di accesso condizionale, un utente può essere negato l'accesso se passa il controllo della posizione, ma non riesce un altro criterio. Per altre informazioni sull'applicazione dei criteri, vedere l'articolo Creazione di criteri di accesso condizionale.

Importante

Gli utenti possono ricevere richieste ogni ora per sapere che Azure AD controlla la posizione nell'app Authenticator. L'anteprima deve essere usata solo per proteggere le app molto sensibili in cui questo comportamento è accettabile o dove l'accesso deve essere limitato a un paese o a un'area geografica specifica.

Includere paesi/aree sconosciute

Alcuni indirizzi IP non vengono mappati a un paese o a un'area geografica specifica, inclusi tutti gli indirizzi IPv6. Per acquisire queste posizioni IP, selezionare la casella Includi paesi/aree sconosciute durante la definizione di una posizione geografica. Questa opzione consente di scegliere se questi indirizzi IP devono essere inclusi nella posizione specifica. Usare questa impostazione quando i criteri che usano la posizione specifica devono essere applicati a posizioni sconosciute.

Configurare indirizzi IP attendibili MFA

È anche possibile configurare gli intervalli di indirizzi IP che rappresentano la intranet locale dell'organizzazione nelle impostazioni del servizio di autenticazione a più fattori. Questa funzionalità consente di configurare fino a 50 intervalli di indirizzi IP. Gli intervalli di indirizzi IP sono in formato CIDR. Per altre informazioni, vedere IP attendibili.

Se sono configurati indirizzi IP attendibili, vengono visualizzati come INDIRIZZI IP attendibili MFA nell'elenco delle posizioni per la condizione di posizione.

Ignora l'autenticazione a più fattori

Nella pagina impostazioni del servizio di autenticazione a più fattori è possibile identificare gli utenti intranet aziendali selezionando Ignora l'autenticazione a più fattori per le richieste degli utenti federati nella rete Intranet. Questa impostazione indica che l'attestazione della rete aziendale interna, rilasciata da AD FS, deve essere attendibile e usata per identificare l'utente come appartenente alla rete aziendale. Per altre informazioni, vedere Abilitare la funzionalità Indirizzi IP attendibili usando l'accesso condizionale.

Dopo aver controllato questa opzione, inclusi gli indirizzi IP attendibili MFA denominati verranno applicati a tutti i criteri con questa opzione selezionata.

Per le applicazioni mobili e desktop, che hanno durata di sessione di lunga durata, l'accesso condizionale viene periodicamente rivalutato. Il valore predefinito è una volta ogni ora. Quando l'attestazione della rete aziendale interna viene emessa solo al momento dell'autenticazione iniziale, Azure AD potrebbe non disporre di un elenco di intervalli IP attendibili. In questo caso, è più difficile determinare se l'utente è ancora nella rete aziendale:

  1. Verificare se l'indirizzo IP dell'utente è in uno degli intervalli di indirizzi IP attendibili.
  2. Verificare se i primi tre ottetti dell'indirizzo IP dell'utente corrispondono ai primi tre ottetti dell'indirizzo IP dell'autenticazione iniziale. L'indirizzo IP viene confrontato con l'autenticazione iniziale quando l'attestazione di rete aziendale è stata originariamente rilasciata e il percorso utente è stato convalidato.

Se entrambi i passaggi danno esito negativo, l'utente non viene più considerato come su un indirizzo IP attendibile.

Condizione di posizione nei criteri

Quando si configura la condizione di posizione, è possibile distinguere tra:

  • Tutti i percorsi
  • Tutte le località attendibili
  • Le località selezionate

Tutti i percorsi

Per impostazione predefinita, la selezione di Tutte le località fa in modo che i criteri vengano applicati a tutti gli indirizzi IP, cioè qualsiasi indirizzo su Internet. Questa impostazione non è limitata agli indirizzi IP configurati come percorso denominato. Quando si seleziona Tutte le località, è comunque possibile escludere percorsi specifici dai criteri. Ad esempio, è possibile applicare dei criteri a tutte le posizioni tranne che ai percorsi attendibili per impostare l'ambito per tutte le posizioni ad eccezione della rete aziendale.

Tutte le località attendibili

Questa opzione si applica a:

  • Tutte le posizioni che sono state contrassegnate come attendibili
  • Indirizzi IP attendibili MFA (se configurati)

Le località selezionate

Con questa opzione è possibile selezionare una o più posizioni specifiche. Per applicare criteri con questa impostazione, un utente deve connettersi da una delle posizioni selezionate. Quando si seleziona il controllo di selezione di rete denominato che mostra l'elenco delle reti denominate viene aperto. L'elenco indica anche se il percorso di rete è stato contrassegnato come attendibile. Il percorso denominato ip attendibili MFA viene usato per includere le impostazioni IP che possono essere configurate nella pagina dell'impostazione del servizio di autenticazione a più fattori.

Traffico IPv6

Per impostazione predefinita, i criteri di accesso condizionale verranno applicati a tutto il traffico IPv6. È possibile escludere intervalli di indirizzi IPv6 specifici da un criterio di accesso condizionale se non si desidera che i criteri vengano applicati per intervalli IPv6 specifici. Ad esempio, se si vuole non applicare criteri per l'uso nella rete aziendale e la rete aziendale è ospitata in intervalli IPv6 pubblici.

Identificazione del traffico IPv6 nei report attività di accesso di Azure AD

È possibile individuare il traffico IPv6 nel tenant passando i report sulle attività di accesso di Azure AD. Dopo aver aperto il report attività, aggiungere la colonna "Indirizzo IP". Questa colonna ti darà l'identificazione del traffico IPv6.

È anche possibile trovare l'INDIRIZZO IP client facendo clic su una riga nel report e quindi passando alla scheda "Posizione" nei dettagli dell'attività di accesso.

Quando il tenant avrà il traffico IPv6?

Azure Active Directory (Azure AD) non supporta attualmente connessioni di rete dirette che usano IPv6. Tuttavia, esistono alcuni casi in cui il traffico di autenticazione viene proxied tramite un altro servizio. In questi casi, l'indirizzo IPv6 verrà usato durante la valutazione dei criteri.

La maggior parte del traffico IPv6 che viene proxied ad Azure AD proviene da Microsoft Exchange Online. Se disponibile, Exchange preferisce le connessioni IPv6. Quindi, se sono presenti criteri di accesso condizionale per Exchange, configurati per intervalli IPv4 specifici, è necessario assicurarsi di aver aggiunto anche gli intervalli IPv6 delle organizzazioni. Non inclusi gli intervalli IPv6 causano un comportamento imprevisto per i due casi seguenti:

  • Quando un client di posta elettronica viene usato per connettersi a Exchange Online con l'autenticazione legacy, Azure AD può ricevere un indirizzo IPv6. La richiesta di autenticazione iniziale passa a Exchange e quindi viene proxied ad Azure AD.
  • Quando outlook Web Access (OWA) viene usato nel browser, verifica periodicamente tutti i criteri di accesso condizionale continuano a essere soddisfatti. Questo controllo viene usato per rilevare i casi in cui un utente potrebbe aver spostato da un indirizzo IP consentito a una nuova posizione, ad esempio il negozio di caffè lungo la strada. In questo caso, se viene usato un indirizzo IPv6 e se l'indirizzo IPv6 non si trova in un intervallo configurato, l'utente potrebbe aver interrotto la sessione e essere reindirizzato ad Azure AD per riutenticare.

Se si usano reti virtuali di Azure, si avrà traffico proveniente da un indirizzo IPv6. Se il traffico della rete virtuale è bloccato da un criterio di accesso condizionale, controllare il log di accesso di Azure AD. Dopo aver identificato il traffico, è possibile ottenere l'indirizzo IPv6 usato ed escluderlo dai criteri.

Nota

Se si vuole specificare un intervallo CIDR IP per un singolo indirizzo, applicare la maschera /128 bit. Se viene visualizzato l'indirizzo IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a e si vuole escludere tale singolo indirizzo come intervallo, si userebbe 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Informazioni utili

Quando viene valutata una posizione?

I criteri di accesso condizionale vengono valutati quando:

  • Un utente accede inizialmente a un'app Web, un'applicazione per dispositivi mobili o un'applicazione desktop.
  • Un'applicazione desktop o per dispositivo mobili che usa l'autenticazione moderna usa un token di aggiornamento per acquisire un nuovo token di accesso. Per impostazione predefinita, questo controllo è una volta all'ora.

Questo controllo indica che le applicazioni mobili e desktop che usano l'autenticazione moderna, una modifica nella posizione verrà rilevata entro un'ora dalla modifica del percorso di rete. Per le applicazioni desktop e per dispositivi mobili che non usano l'autenticazione moderna, questo criterio viene applicato a ogni richiesta di token. La frequenza della richiesta può variare in base all'applicazione. Analogamente, per le applicazioni Web il criterio viene applicato all'accesso iniziale e rimane valido per l'intera durata della sessione dell'applicazione Web interessata. A causa delle differenze tra le durata delle sessioni nelle applicazioni, il tempo tra la valutazione dei criteri varia anche. Ogni volta che l'applicazione richiede un nuovo token di accesso, viene applicato il criterio.

Per impostazione predefinita, Azure AD rilascia un token su base oraria. Se si esce dalla rete aziendale, entro un'ora i criteri vengono applicati per le applicazioni che usano l'autenticazione moderna.

Indirizzo IP utente

L'indirizzo IP usato nella valutazione dei criteri è l'indirizzo IP pubblico dell'utente. Per i dispositivi in una rete privata, questo indirizzo IP non è l'IP client del dispositivo dell'utente nella intranet, è l'indirizzo usato dalla rete per connettersi a Internet pubblico.

Caricamento e download in blocco delle posizioni specifiche

Quando si creano o si aggiornano le posizioni specifiche, per gli aggiornamenti in blocco è possibile caricare o scaricare un file CSV con gli intervalli di indirizzi IP. Un caricamento sostituisce gli intervalli IP nell'elenco con tali intervalli dal file. Ogni riga del file contiene un intervallo di indirizzi IP in formato CIDR.

Proxy cloud e VPN

Quando si usa un proxy ospitato nel cloud o una soluzione VPN, l'indirizzo IP usato da Azure AD durante la valutazione dei criteri è l'indirizzo IP del proxy. L'intestazione X-Forwarded-For (XFF) che contiene l'indirizzo IP pubblico dell'utente non viene usata perché non è presente alcuna convalida proveniente da un'origine attendibile, quindi presenterebbe un metodo per la creazione di un indirizzo IP.

Quando è disponibile un proxy cloud, è possibile usare un criterio usato per richiedere un dispositivo aggiunto ad Azure AD ibrido o l'attestazione corpnet all'interno di AD FS.

Supporto dell'API e PowerShell

È disponibile una versione di anteprima del API Graph per le posizioni denominate, per altre informazioni, vedere l'API namedLocation.

Passaggi successivi